火热的SDN真的安全吗？

最近，在旧金山举行VMworld 2015会议上，VMware CEO Pat Gelsinger在一个主题演讲中着重推销了VMware的网络虚拟化技术（基于SDN的网络虚拟化技术）。但是从安全性角度而言，外界对SDN的看法也有不同的声音。

SDN的优势以及发展前景

VMware最近刚刚发布了它的网络虚拟化产品-NSX-的最新版本NSX6.2。发布两年多以来，已经有多于100个客户在实际部署中使用NSX，美国石油巨头Marathon Oil也是其客户之一。

Pat Gelsinger表示，网络虚拟化（即SDN）是安全架构实现方面的一项颠覆性的技术，这是第一次我们能够将安全技术构建在架构内部，我们坚信构建在架构内部的安全技术能够达到两倍的安全性并且只需要一半的代价。

“通常来说，IT架构都是从网络设备到服务器再到应用一层一层构建起来的，而这种架构是非常脆弱的”，VMware高级副总裁Martin Casado表示。传统网络的复杂配置给数据中心整个架构的管理带来了很大的障碍，而基于SDN的网络虚拟化却可以集中控制整个网络的配置，并且配置信息可以随设备一起移动，这无疑将提供很大的灵活性。

SDN是近来网络领域非常火热的概念。诸多预测认为SDN将在未来几年达到三十亿美元的规模，并且会呈现出一个高速增长的趋势。SDN的核心思想在于将转发和控制进行分离，对应着硬件SDN交换机以及网络控制器，用户通过对网络控制器的编程能够灵活的进行网络配置及网络优化。

SDN存在的安全性问题

然而，从安全性角度而言，对SDN的看法也有不同的声音。例如SDN的控制器作为一个中央控制软件，更加容易受到攻击，而且一旦攻击者获得了SDN控制器的权限，整个网络都将暴露在危险中。例如在前段时间思科发布安全通告中，称之前的SDN控制器中存在漏洞，能够让攻击者以Root用户身份访问系统并运行Root命令；传统的网络设备是一个完全自治的系统，各个系统之间只是数据传递的关系，而由于SDN采用集中控制的方式进行管理，SDN控制器将会被各种不同的系统访问，这将给SDN增添很多新的攻击风险；“SDN创建了一个抽象层，这将带来很多新的攻击面，例如OpenFlow协议、供应商API等”，Gartner分析师Neil MacDonald表示。

虽然目前而言SDN尚未大规模替代传统网络，但是面对火热的SDN，很多专家们却也为SDN提出了诸多安全性建议，例如核心通信协议之间进行加密、固件化部分配置、管理身份认证、积极监控数据源信息等。面对大家所关心的安全问题，也有专家对SDN系统的攻击途径进行了评估，总结了对SDN数据层、控制器层及SDN层的多种攻击途径，并从预测攻击途径的角度总结了如何提升SDN安全性的方法。

总结

虽然SDN在安全性上的表现可能不如Pat Gelsinger 所鼓吹的那样令人满意，然而SDN在对数据中心大集群配置方面的灵活性则是很多企业非常看重的。随着SDN技术的逐渐成熟，也期待新的SDN产品对安全性有更加完备考虑。

参考文章：

1. 思科SDN控制器存在安全漏洞
2. 软件定义网络SDN攻击途径与安全提升

感谢徐川对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作，请邮件至[email protected]。也欢迎大家通过新浪微博（@InfoQ，@丁晓昀），微信（微信号：InfoQChina）关注我们，并与我们的编辑和其他读者朋友交流（欢迎加入InfoQ读者交流群）。